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Stand der Technik 



Zuverlassigkeits- und Sicherheitsanforderungen an Fahrzeugfunktionen ergeben sich aus den 
Kundenwiinschen unter Berucksichtigung der technisehen, gesetzlichen und finanziellen 
Randbedingungen. Zuverlassigkeitsanforderungen an Fahrzeugfunktionen werden 
be.spielsweise in Form von kurzen Reparaturzeiten oder langen Serviceintervallen vorgegeben 
S.cherhettsanforderungen legen dagegen das sichere Verhalten des Fahrzeugs im Falle von 
Ausfallen und Storungen von Komponenten des Fahrzeugs fest. Die an Fahrzeugfunktionen 
gestellten Zuverlassigkeits- und Sicherheitsanforderungen legen von Anfang an auch 
Anforderungen an die technische Realisierung und Nachweispflichten fest Eine der 
machtigsten MaBnahmen zur ErhShung der Sicherheit und ZuverlMssigkeit ist Redundanz 
Da zunehmend Fahrzeugfunktionen oder Teile von Fahrzeugfunktionen durch Software 
revert werden, haben systematise Methoden zur Zuverlassigkeits- und Sicherheitsanalyse 
auch zunehmenden Einfluss auf die Software-Entwicklung fur elektronische Steuergerate etwa 
auf d,e Realisierung der tiberwachungs-, Diagnose- und Sicherheitskonzepte. 

FUr komplexe elektronische Systeme miissen die Aktivitaten zur Absicherung der 
Zuverlassigkeit und Sicherheit fruhzeitig geplant und in den gesamten Projektplan integriert 
werden. 



Beschreibung der Erfindung und Vorteile 
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Zuverlassigkeits- und Sicherhetaanalysen umfessen z. B. Ausfallraten- und 
Ausaltartemutelysen, wie die Ausfallarten- und Wirkungsanalyse (FMEA) oder die 
FehUrbaumanaiyse (FTA), sowie die Untersuchung und Bewertung van konkreten 
M6gl,chkeite„ zur Verbesserung der ZuverlSssigkeit oder der Sichemeit 
in. foigenden wird are Baispie, der fonnalen Oberprufung von Oberwaebungskonzepten ein 
Verfahren zur formalen Uberprufcng von FunMonen elektronischer Systeme dureb 
Zuverlaasigkeitebloekdiagra.ntee beachrieben. Demi, ia, die ftuhzeitige Bewertung 
unteraobiedUcher Oberwaebungskonzepte elekteoniaober Steo.rger.te in, neaonderen „„d von 
Funkaonen e.ekb-oniaeber Systente in, aUgemeinen, die dumb Software „„d Hardware realist 
warden, breatendieb der erreicbbaren Syateresienerbei, und der Systerezuverlasaigkei, m5g , ich . 
D, . Ergebresse beeinflussen insbesondere die Verteihng von Software-Funknonen auf die 
MrkroconteoUer venretzter Steuergerate und darei. die Emwicklung von Software fflr verteilte 
und vernetzte Steuergerate. 

1.1 AusfaHratenanalyse and Bereehnnng der Zuvertaaaigkeiteft-nknon farSysteree 

Die aystereatische Unteraucbung der AuafaUrate eine, Betraobbungaeinbei, ermoglicb. die 
Vorauaaage der Zuverliaaigkei, fUr die Betaehrungseinhei, durcb Bereohnung. Diese 
Vorauasage ia, wiohog, lm Sebwaehstellen ftabzeitig zu erkennen, Altemadvldsungen zu 
bewerten und Zuaaremenhange zwisoben Zuverlaasigkeh, Sioherhei. und Verfligbarkei, 
ouannradv erfassen zn kbnnen. Augerden, sind Unterauebungen dieaer Art norwendig. um 
ZuverIass,gkeiteanforderunge„ etwa an Komponenten stellen zu kdnnen 

Eilf T Ve : iCh ' aS ~ ™' ~*^».-wieder U „ s ic h erbei,darverwendeten 
E.nga„gsdate„ kann die berechnete, vorauageaagte Zuverfeigkei, nur ein Subvert fflr die 
wahre Zuverlaasigkei. sein, die nur mi.ZuverU.saigkei.sprtm.ngen und FeldbeobaCtengen zu 
«-* * In, Rabreen von Vergteichsuntersuehungen in der Anaiysepbaae spiel, jedoch die 
absolute Genau,gkei, keine Rolle, ao daaa besondera bei der Bewertung von 
Reahsierengsa.terna.iven die Bereoknung der voreuagesag.en Zuvcteaigkei. „u«zlich ia. 
In den f„,ge nde „ Abacbniften is. die BeWchnangseinbei, inuner ein .echnisohes Systere oder 
« Systemkomponente des Fabrzeugs. ta .Ugenreinen Fall kann die Befraetangseinne, auob 
»«.ter gefaas, warden und beispielsweise aueh den Fahrer dea Fahrzeugs rei. einscbliegen 
u.e Ausfallratenanalyse unterscheidet die foigenden Schritte [1): 
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• Definition der Grenzen und Komponenten des technischen Systems, der geforderten 
Funktionen und des Anforderungsprofils 

• AufstelJen des Zuverlassigkeitsb.ockdiagramms (engl. Reliability Block Diagram) 

• Bestimmung der Belastungsbedingungen ftr jede Komponente 

• Bestimmung von Zuverlassigkeitsfunktion oder Ausfallrate fur jede Komponente 

• Berechnung der Zuverlassigkeitsfunktion fur das System 

• Behebung der Schwachstellen 

Die Ausfallratenanalyse ist ein mehrstufiges Verfahren und wird „top down" von der 
Systemebene Qber die verschiedenen Subsystemebenen bis zur Komponentenebene der 
technischen Systemarchitektur durchgefuhrt. Die Ausfallratenanalyse muss nach Anderungen 
der technischen Systemarchitektur wiederholt werden. 

H.1 Definition der Systemgrenzen, der geforderten Funktionen und des 
Anforderungsprofils 

For die theoretischen Ober.egungen, die zur Voraussage der Zuverlassigkeit notwendig sind 
miissen eingehende Kenntnisse des Systems und seiner Funktionen, sowie der konkreten ' 
Moglichkeiten zur Verbesserung der Zuverlassigkeit und Sicherheit vorausgesetzt werden 
Zum Systemverstandnis zahlt die Kenntnis der Architektur des Systems und seiner 
Wirkungsweise, die Arbeits- und Belastungsbedingungen fur a.le Systemkomponenten, sowie 
die gegenseitigen Wechselwirkungen zwischen den Komponenten, etwa in Form von 
SignalflQssen und der Eingangs- und Ausgangssicht aller Komponenten 
Zu den VerbesserungsmSgiichkeiten gehOren die Begrenzung oder die Verringerung der 
Be lastung der Komponenten im Betrieb, etwa der statischen oder dynamischen Belastungen der 
Belastung der Schnittstellen, der Einsatz besser geeigneter Komponenten, die Vereinfachung 
des System- oder Komponentenentwurfs, die Vorbehandlung kritischer Komponenten, sowie 
der Einsatz von Redundanz. 

Die geforderte Funktion spezifiziert die Aufgabe des Systems. Die Festlegung der 
Systemgrenzen und der geforderten Funktionen bildet den Ausgangspunkt jeder 
Zuverlassigkeits- und Sicherheitsanalyse, weil damit auch der Ausfall definiert wird. 

Zusatzlich mUssen die Umweltbedingungen fur alle Komponenten des Systems definiert 
werden, da dadurch die Zuverlassigkeit der Komponenten beeinflusst wird. So hat z. B. der 
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Temperaturbereich groGen Einfluss auf die Ausfal Irate von Hardware-Komponenten I m 
Fahrzeug gehSren z. B. der geforderte Temperaturbereich, der Einsatz unter Feuchtigkeit Staub 
Oder korrosiver Atmosphare, oder Belastungen durch Vibrationen, Schocks oder 
Schwankungen, wie etwa der Versorgungsspannung zu den Umweltbedingungen. Hangen die 
geforderten Funktionen und die Umweltbedingungen auBerdem von der Zeit ab, muss ein 
Anforderungsprofil festgelegt werden. Ein Beispiel fur gesetzlich vorgeschriebene 
Anforderungsprofile im Fahrzeug sin d die Fahrzyklen zum Nachweis der Einhaltung der 
Abgasvorschriften. In diesem Fall spricht man auch von reprasentativen Anforderungsprofi.en 



1.1.2 Aufstellen des Zuverlassigkeitsblockdiagram 



ms 



Das Zuverlassigkeitsblockdiagramm gibt Antwort auf die Fragen, welche Komponenten eines 
Systems zur Erftlllung der geforderten Funktion grundsatzlich funktionieren miissen und welche 
Komponenten im Falle ihres Ausfalls die Funktion nicht grundsatzlich beeintrachtigen, da sie 
redundant vorhanden sind. Die Aufstellung des Zuverlassigkeitsblockdiagramms erfolgt, indem 
man die Komponenten der technischen Systemarchitektur betrachtet. Diese Komponenten 
werden in einem Blockdiagramm so verbunden, dass die zur Funktionserfullung notwendigen 
Komponenten in Reihe geschaltet werden und redundante Komponenten in einer 
Parallelschaltung verbunden werden. 

Beispiel: Aufstellen des Zuverlassigkeitsblockdiagramms fur ein fiktives Brake-By-Wire- 
System 

Fiir ein fiktives Brake-By-Wire-System, wie in Bild 1 dargestellt, wird zunachst die 
Systemgrenze festgelegt. Das System besteht aus den Komponenten Bremspedaleinheit (K, ) 
Steuergerat (K 2 ), den Radbremseinheiten (K,, K 7 , K 9 ,K„) und den elektrischen Verbindungen 

Bei Brake-By-Wire-Systemen besteht zwischen dem Bremspedal und den Radbremsen keine 
hydraulische, sondern eine elektrische Verbindung. Beim Bremsen wird der Fahrerbefehl der 
durch die Bremspedaleinheit K, vorgegeben und im SteuergerSt K 2 verarbeitet wird, und die 
zum Bremsen notwendige Energie „by wire" zu den Radbremseinheiten K 5 , K 7 , K 9 und K, , 
Obertragen. Dabei muss sichergestellt werden, dass die Obernahme der Funktionen 
^formations- und Energieubertragung" zwischen Pedaleinheit und Radbremseinheiten, die bei 
konventionellen Bremssystemen mechanisch-hydraulisch realisiert sind, durch die elektrischen 
und elektronischen Komponenten K 2 , K 3 , K,, K 6 , K 8 und K I0 kein zusatzliches Sicherheitsrisiko 
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sondern einen Sicherheitsgewinn bringt. Die vorhersagbare Obertragung der Bremsbefehle ist 
deshalb eine zwingende Voraussetzung. Ebenso muss die Sicherheit auch bei Storungen und 
Ausfallen von Komponenten gewahrleistet sein. 

Es soli die Funktion „Bremsen« betrachtet werden. DafUr soli die Gesamtzuverlassigkeit des 
Systems bestimmt werden. Es wird angenommen, dass die Ausfallraten X, bis X, , der 
Komponenten Kj bis K, x bekannt sind. 

Dieses Beispiel wird im weiteren sehr stark vereinfacht. Es soil nur die prinzipielle 
Vorgehensweise bei der Zuverlassigkeitsanalyse verdeutlichen. Deshalb wird nur die 
Informationsubertragung betrachtet, wahrend die Aspekte der Energieversorgung und der 
Energieubertragung, sowie fahrdynamische Randbedingungen, wie die geforderte 
Bremskraftverteilung auf Vorder- und Hinterachse, die selbstverstandlich auch bei der 
Zuverlassigkeitsanalyse beriicksichtigt werden miissen, vernachlassigt werden.' 



Bild 1 : Systemsicht fur ein Brake-By- Wire-Systi 



em 



Fur die Erftillung der Funktion ,3remsen« sind bei dieser vereinfaehten Sicht das Funktionieren 
der Komponenten Bremspedaleinheit K„ Steuergerat K 2 , sowie der Verbindungen zwischen 
Bremspedaleinheit und Steuergerat K 3 zwingend notwendig. 

Bei den Radbremseinheiten und den Verbindungen zwischen Steuergerat und 
Radbremseinheiten ist Redundanz vorhanden. Unter der stark vereinfachten Annahme, dass eine 
ausre 1C hende Hilfsbremswirkung fur das Fahrzeug mit nur einer Radbremseinheit erzielt werden 
kann, sind dann beispielsweise die Komponenten K4 und K 5 notwendig, wahrend die 
Komponenten K, und K 7 , K 8 und K, bzw. K, 0 und K„ redundant vorhanden sind. Eine 
derartige Anordnung wird auch als l-aus-4-Redundanz bezeichnet. 

Das Zuverlassigkeitsblockdiagramm fur die Funktion ^msen" sieht dann wie in Bild 2 
dargestellt aus. 

Systems ZuveTl ^ eitsblockdi ^ m far die Funktion J3remsen« des Brake-By-Wire- 



\ 
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1.1.3 Berechnung der Zuverlassigkeitsfunktion fur das System 
Nach Festlegung der Belastungsbedingungen und der Bestimmung der 

ZuverlMssigkeitsfunktionen R(t) fiir alle Komponenten K, kann unter Berucksichtigung der in 
Bdd 3 dargestellten Grundregeln fur Zuverlassigkeitsblockdiagramme [1] die 
Zuverlassigkeitsfunktion des Systems Rs(t) berechnet werden. 

Bild 3: Einige Grundregeln zur Berechnung der Zuverlassigkeitsfunktion fur das System [1] 

Fur das Beispiel in Bild 2 kann damit die Zuverlassigkeitsfunktion des Systems Rs berechnet 
werden. Mit den Annahmen R4 = R* = R 8 = R 10 und R 5 = R 7 = R 9 = R „ folgt ftr ^ 
Rs = R I R 2 R 3 [l-(l-R 4 R s ) 4 ] 

Wie dieses vereinfachte Beispiel zeigt, erhoht sich die Systemzuverlassigkeit fur eine Funktion 
durch redundante Komponenten fan Zuverlassigkeitsblockdiagramm gegeniiber der 
Komponentenzuverlassigkeit. Dagegen verringert sich bei den seriell dargestellten 
Komponenten die Systemzuverlassigkeit gegeniiber der Komponentenzuverlassigkeit. Man wird 
daher fur d,e seriellen Komponenten im Zuverlassigkeitsblockdiagramm bereits eine hohe 
Zuverlassigkeit von den Komponenten fordern mUssen oder eine technische Systemarchitektur 
emfuhren, die auch hier redundante Strukturen vorsieht. 

12 Sicherheits- und Zuverlassigkeitsanalyse fur das System mit 
Zuverlassigkeitsblockdiagrammen 

Fur die Sicherheit eines Systems ist es dagegen unwichtig, ob die Betrachtungseinheit die 
Funktionen erfullt oder nicht, sofern damit kein nicht vertretbar hohes Risiko eintritt 
MaBnahmen zur ErhShung der Sicherheit werden als SchutzmaBnahmen bezeichnet und zielen 
auf die Verringerung des Risikos. 

Zuverlassigkeits- und Sicherheitsanalyse sind iterative und zusammenhangende Prozesse mit 
mehreren Schritten, wie in Bild 4 dargestellt. 
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Bild 4: Schritte bei der Zuverlassigkeits- und Sicherheitsanalyse und der Spezifikation 
zuverlassiger und sicherer Systeme. 



Sie haben Einfluss auf Anforderungen an die Hardware, Software und den Software- 
Entwicklungsprozess fiir elektronische Systeme. Auch fur die Sicherheitsanalyse eines Systems 
werden hauflg Methoden zur Ausfallartenanalyse, wie FMEA oder FTA, eingesetzt. Die 
Ausfallartenanalyse liefert eine Bewertung des Risikos fur alle Funktionen des Systems. 
Das zulassige Grenzrisiko wird in der Regel dutch sicherheitstechnische Festlegungen, wie 
Gesetze, Normen oder Verordnungen, implizit vorgegeben. Aus dem ermittelten Risiko fur die 
Funktionen des Systems und dem zulassigen Grenzrisiko werden dann - beispielsweise anhand 
von Normen wie der IEC 61508 - sicherheitstechnische Anforderungen an das System 
abgeleitet, die oft groBen Einfluss auf den System-, den Hardware- und Software-Entwurf in der 
Elektronikentwicklung haben. 

Fur die durch die Ausfallartenanalyse bestimmten und abgegrenzten, so genannten 
sicherheitsrelevanten Funktionen des Systems miissen besondere Schutzmaflnahmen getroffen 
werden, die beispielsweise in Hardware und Software realisiert werden konnen. 

Der Nachweis der Sicherheit und Zuverlassigkeit dieser Oberwachungskonzepte ist 
Voraussetzung fiir die Zulassung von Fahrzeugen zum StraJJenverkehr. Im folgenden wird am 
Beispiel des Oberwachungskonzeptes fiir ein E-Gas-System das Verfahren zur Beurteilung der 
Zuverlassigkeit und Sicherheit des Oberwachungskonzeptes unter Einsatz von 
Zuverlassigkeitsblockdiagrammendargestellt. 

Beispiel: Oberwachungskonzept fiir ein E-Gas-System 

Als mogliche Gefahr fiir ein E-Gas-Sysfem wird ungewolltes Gasgeben und ein daraus 
folgender Unfall angenommen. Fur das MotorsteuergerSt bedeutet dies, dass alle diejenigen 
Steuerungs- und Regelungsfunktionen f„ sicherheitsrelevant sind, die zu einer unbeabsichtigten 
ErhQhung des Motordrehmoments filhren kCnnen. Fiir diese Funktionen ist deshalb ein 
Oberwachungskonzept notwendig. 

In diesem Beispiel soil das etwas vereinfachte Oberwachungskonzept, wie es seit Jahren in 
Motorsteuergeraten eingesetzt wird, bezUglich der Sicherheit und Zuverlassigkeit untersucht 
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werden. Im Rahmen des Arbeitskreises „E-Gas" des Verbandes der Automobilindustrie (VDA) 
wird diesds von der Robert Bosch GmbH entwickelte Basiskonzept derzeit zu einem 
standardisierten Uberwachungskonzept fur Motorsteuerungen von Otto- und Dieselmotoren 
weiterentwickelt. 



In Bild 5 ist das Oberwachungskonzept fur sicherheitsrelevante Steuerungs- und 
Regelungsfunktionen f n dargestellt. 



Bild 5 



: Oberwachungskonzept fur sicherheitsrelevante Funktionen des Motorsteuergerats [79] 

Die sicherheitsrelevanten Steuerungs- und Regelungsfunktionen f n werden durch die 
Oberwachungsfunktionen f 0n standig Uberwacht. Die ttberwachungsfunktionen f 0n verwenden 
die gleichen Eingangsgr613en wie die Steuerungs- und Regelungsfunktionen f n , arbeiten aber mit 
unterschiedlichen Daten und mit unterschiedlichen Algorithmen. 

Die Funktionen zur Cberwachung der Mikrocontroller prufen neben RAM-, ROM- und 
Mikroprozessorfunktionen beispielsweise auch, ob die Steuerungs- und Regelungsfunktionen f n 
und die Uberwachungsfunktionen f 0n Qberhaupt ausgefuhrt werden. Dies macht den Einsatz 
eines zweiten Mikrocontrollers im Motorsteuergerat, eines so genannten 
Oberwachungsrechners, notwendig. Die Funktionen zur Oberwachung der Mikrocontroller 
werden auf den Funktionsrechner und den tiberwachungsrechner verteilt. Beide Uberwachen 
sich in einem Frage-Antwort-Spiel gegenseitig. 

Als sicherer Zustand ist die Stromabschaltung fur die elektromechanische Drosselklappe 
festgelegt. Die Drosselklappe. ist so konstruiert, dass sie nach einer Stromabschaltung selbsttatig 
die Leerlaufposition einnimmt. Der Ubergang in den sicheren Zustand kann deshalb dadurch 
eingeleitet werden, dass eine Abschaltung der Endstufen des Steuergerats, die die Drosselklappe 
ansteuern, erfolgt. Der Motor kann so im Notlauf weiterbetrieben werden. 

Sowohl die Oberwachungsfunktionen f 0n , als auch die Funktionen zur Crberwachung der 
Mikrocontroller auf dem Funktions- und auf dent Oberwachungsrechner kormen also die 
Drosselklappenendstufen des Steuergerats abschalten. 
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Im Falle eines erkannten Fehlers wird neben dieser Sicherheitsreaktion auch ein Eintrag im 
Fehlerspeicher vorgenommen. AuBerdem wird meist auch eine Information an den Fahrer etwa 
iiber eine Anzeige im Kombiinstrument ausgegeben. 

Soil die Zuverlassigkeit dieses Oberwachungskonzepts beurteiit werden, so sind zunachst drei 
Arten von Funktionen zu unterscheiden: 

• die Steuerungs- und Regelungsfunktionen f„ 

• die ttberwachungsfunktionen fo„ 

• die Funktionen zur Oberwachung der Mikrocontroller 

Die Zuverlassigkeitsblockdiagramme fiir diese verschiedenen Funktionen lassen sich dann recht 
einfach bestimmen (Bild 6): . 



Bild 6: Zuverlassigkeitsblockdiagramme ftir Funktionen der Motorsteuerung 

Urn die Systemzuverlassigkeit zu bestimmen, wird man alle drei Arten von Funktionen 
gleichzeitig fordern. Dann ergibt sich die Systemzuverlassigkeit durch eine Reihenschaltung 
dieser Blockdiagramme. Zusatzlich mussen auch die Komponenten K 7 und K*, die in den 
Blockdiagrammen der einzelnen Funktionen nicht vorkommen, in Reihe geschaltet werden. 
Die Systemzuverlassigkeit R s 2uver)assigkeit ergibt sich durch Multiplikation der Zuverlassigkeit der 
drei Funktionen R x ; x = a, b. c mit der Zuverlassigkeit der Komponenten K 7 Rd und K 8 Re und ist 
wegen R x < 1 in jedem Fall geringer als die jeweilige Zuverlassigkeit der Funktionen R x . Bei 
der Berechnung der Systemzuverlassigkeit mussen die Regeln fur das Rechnen mit mehrfach 
auftretenden Elementen im Zuverlassigkeitsblockdiagrammen beachtet werden [1]. 

Zuveriflssigkeit "~ Ra Rb Rc Rd Re 

Dagegen ist fiir die Sicherheit lediglich das zuverlassige Erkennen eines Ausfalls und der 
zuverlassige ttbergang in den sicheren Zustand notwendig. Die Zuverlassigkeit R s Sicherhei , dieser 
Sicherheitsreaktion wird durch die Zuverlassigkeit der ttberwachungsfiinktionen f Un oder der 
Funktionen zur Oberwachung der Mikrocontroller vorgegeben und ist deshalb hOher als die 
Zuverlassigkeit der Funktionen R x . Zudem geht die Zuverlassigkeit der Komponenten K 7 R D 
und K 8 R E in die Berechnung von ^ Sichefheit nicht ein. 
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R-S Sicherheit — 1 — ( 1 - R B )( 1 - Re) 

Wie dieses Beispiel zeigt, konnen MaBnahmen zur Erhohung der Sicherheit die Zuverlassigkeit 
des Systems verringern. AuBerdem ist ersichtlich, dass MaBnahmen zur Erhdhung der 
Zuverlassigkeit zu einer Reduzierung der Sicherheit eines Systems fiihren kSnnen. 

Obwohl nurHardware-Komponenten betrachtet werden, haben die Zuverlassigkieits- und 
Sicherheitsanalysen groBen Einfluss auf die Software-Entwicklung. Wie am Beispiel der 
Bewertung des Oberwachungskonzeptes gezeigt, beeinflussen sie etwa die Zuordnung der 
Software-Funktionen zu den Mikrocontrollern in einem verteilten und vernetzten System • 
Oder die norwendigen QualitatssicherungsmaBnahmen in der Software-Entwicklung. 



Literatur 

[1] Alessandro Birolini: 
Systemen. Springer Verlag, 



Zuverlassigkeit von Geraten und 
1997. 
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Vorgehensweise und Kerngedanken 

Schritt 1: Festlegung des Hardware-Netzwerks des elektronischen Systems, d. h. 

Spezifikation der Mikrocontroller und ihrer Vernetzung. 

Schritt 2: Festlegung der Software-Komponenten, die fur die Realisierung der 

Funktionen des elektronischen Systems erforderlich sind und Spezifikation der 
Kommunikation zwischen den Software-Komponenten 

Schritt 3: Zuordnung der Software-Komponenten zu den Mikrocontrollern des 

Hardware-Netzwerks 

Schritt 4:Aufstellen der Zuverlassigkeitsblockdiagramme fur die geforderten Funktionen 
des elektronischen Systems ausgebend von den Hardware-Komponenten und Hardware- 
Verbindungen 

Schritt 5: Nachweis der Sicherheit und Zuverlassigkeit durch Berechnung der 

Zuverlassig- 

keit fiir die Sicherheitsfunktionen und der Zuverlassigkeit fiir die gesamten gefor- 
derten Funktionen des elektronischen Systems 

Schritt 6: ggf. Wiederholung der Schritte 1 bis 5 und Korrektur der 

Systemarchitektur, d. h. 

des Software- und Hardware-Netzwerks, sowie der Zuordnung der Software- 
Komponenten zu Hardware-Komponenten 
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ROBERT BOSCH GMBH, 70442 Stuttgart 



Sicherheits- und Zuverlassigkeits betrach tu ng e n f ur Software-H^dware-Oberwar.huneskonz^ 
elektronischer Steuergerate mit 7iiv ft r1 assigkeitsh1ockdiagramme.n 

Zusammenfassung 

Zuverlassigkeits- und Sicherheitsanalysen umfassen z. B. Ausfallraten- und 
Ausfailartenanalysen, wie die Ausfallarten- und Wirkungsanalyse (FMEA) oder die 
Fehlerbaumanalyse (FTA), sowie die Untersuchung und Bewertung von konkreten 
Moglichkeiten zur Verbesserung der Zuverlassigkeit oder der Sicherheit. 
Im folgenden wird am Beispiel der formalen Uberpriifung von Oberwachungskonzepten ein 
Verfahren zur formalen Uberprufung von Funktionen elektronischer Systeme durch 
Zuverlassigkeitsblockdiagramme beschrieben. Damit ist die fruhzeitige Bewertung 
unterschiedlicher Uberwachungskonzepte elektronischer Steuergerate im besonderen und von 
Funktionen elektronischer Systeme im allgemeinen, die durch Software und Hardware realisiert 
werden, hinsichtlich der erreichbaren Systemsicherheit und der Systemzuverlassigkeit mSglich. 
Die Ergebnisse beeinflussen insbesondere die Verteilung von Software-Funktionen auf die 
Mikrocontroller vernetzter Steuergerate und damit die Entwicklung von Software fur verteilte 
und vernetzte Steuergerate. 



1/4 



R. 306255 



Bremspedal 



Bremseinheit 
vorne links 



Bremseinheit 
vorne rechts 




Bremseinheit 
hinten links 



Bremseinheit 
hinten rechts 



Bild 1: Systemsicht ftir ein Brake-By-Wire-Systen 
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Bild 2: 



Zuverlassigkeitsblockdiagramn, flr die Funktion JJremsen" des Brake-By-Wire- 



Systems 
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ZuverlSssigkeits- 
blockdiagramm 



Zuverlassigkeits- 
funktion 

R S =R s (t).Ri =Ri(t) 



Ausfallrate Xg 
fllr = konstant: 
Ri(t) = e -M 



Beispiel 
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l-aus-2-Redundanz 
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H> K. +J 



k-aus-n-Redundanz 



R s = nR. 



i-l 



R s = i-(i-R,)(i-R 2 ) 
= R, +R 2 -R,*R 2 



R,= R 2 =... = R n = R 



R s = 2(r)R i (i-R) n - 1 



FUrk=l gilt: 
R s = l-(1-R)" 



R,= R 2 =0,9 

R s = 0,9 -0,9 =0,81 



R,= R 2 =0,9 

Rs = l- (1-O,9)(l-0,9) = 0,99 



R,= R 2 =R 3 = R 4 = 0,9 
bei l-aus-4-Redundanz: 

Rs = l- (1-0,9)* =0,9999 



Bild 3: Einige Grundregeln zur Berechnung der Zuverlassigkeitsfunktion ftir das System [1] 
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[2] SChritte ZuverIassi ^- und Sicherheitsanalyse und der Speziflkatio: 
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Bild 5: Oberwachungskonzept fllr sicherheitsrelevante Funktionen des Motorsteuergerats [79] 
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Bild 6: Zuverlassigkeitsblockdiagramme for Funktionen der Motorsteuerung 
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